(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202111482974.4
(22)申请日 2021.12.07
(71)申请人 上海交通大学
地址 200240 上海市闵行区东川路800号
(72)发明人 邹福泰 聂铭杰 吴搏伦 吴越
(74)专利代理机构 上海旭诚知识产权代理有限
公司 31220
代理人 郑立
(51)Int.Cl.
G06F 21/56(2013.01)
(54)发明名称一种基于数据溯源图的APT攻击链还原系统(57)摘要本发明公开了一种基于数据溯源图的APT攻击链还原系统,涉及计算机网络安全领域,包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块;数据溯源图记录模块监控目标主机内的系统活动,并以数据溯源图格式进行记录;输入模块获取数据溯源图格式或系统日志格式的输入数据;数据溯源图压缩模块对数据溯源图进行压缩;感染点定位模块标定攻击事件在数据溯源图中的位置;攻击链映射模块通过映射规则将数据溯源图中的节点和边映射到APT攻击链的各个阶段,构造出完整的APT攻击链。本发明能够使分析人员对攻击过程有清晰的认识,并通过基于公开威胁情报的感染点定位和数据溯源图压缩来提高系统效率、 降低存储开销。权利要求书2页 说明书4页 附图2页CN 114117432 A 2022.03.01
C N 114117432
A
1.一种基于数据溯源图的APT攻击链还原系统,其特征在于,包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块;
所述数据溯源图记录模块用于监控目标主机内的系统活动,并以数据溯源图格式进行记录;
所述输入模块用于获取所述数据溯源图格式或系统日志格式的输入数据,得到原始数据溯源图;
所述数据溯源图压缩模块用于对所述原始数据溯源图进行压缩,得到数据溯源图;
所述感染点定位模块用于对所述数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图;
所述攻击链映射模块通过映射规则将所述已定位数据溯源图中的节点和边映射到APT 攻击链的各个阶段,最终构造出完整的APT攻击链。
2.如权利要求1所述的基于数据溯源图的APT攻击链还原系统,其特征在于,所述数据溯源图记录模块使用跨平台数据溯源图记录工具SPADE。
3.如权利要求1所述的基于数据溯源图的APT攻击链还原系统,其特征在于,所述输入模块使用转换脚本将系统日志的输入数据转换为数据溯源图格式,得到原始数据溯源图。
4.如权利要求1所述的基于数据溯源图的APT攻击链还原系统,其特征在于,所述数据溯源图压缩模块对所述原始数据溯源图进行转换,使其成为无环图。
5.如权利要求4所述的基于数据溯源图的APT攻击链还原系统,其特征在于,所述数据溯源图压缩模块对成为无环图的原始数据溯源图通过压缩算法删去冗余信息,得到数据溯源图。
6.如权利要求5所述的基于数据溯源图的APT攻击链还原系统,其特征在于,所述压缩算法包括边压缩算法、节点压缩算法。
7.如权利要求1所述的基于数据溯源图的APT攻击链还原系统,其特征在于,所述感染点定位模块利用公开威胁情报标记所述数据溯源图中的感染点,定位与APT攻击相关的节点与边。
8.如权利要求7所述的基于数据溯源图的APT攻击链还原系统,其特征在于,所述攻击链映射模块使用攻击链映射规则,以在所述感染点定位模块中定位的感染点作为基点,对所述已定位数据溯源图进行深度优先搜索,匹配满足映射规则的节点和边,并将它们映射至APT攻击链的各个阶段,最终获得完整的APT攻击链。
9.一种基于如权利要求1至7任一所述的基于数据溯源图的APT攻击链还原系统的APT 攻击链还原方法,其特征在于,所述方法包括以下步骤:
步骤1、用户通过所述数据溯源图记录模块获取系统的数据溯源图,或利用系统自身的审计功能获取系统日志;
步骤2、用户通过所述输入模块,获取所述步骤1中获得的数据溯源图或系统日志输入系统,对于系统日志,所述输入模块将其转化为数据溯源图格式;
步骤3、所述数据溯源图压缩模块对所述输入模块输入的数据溯源图进行压缩,保留关键信息并剔除与APT攻击无关的冗余信息;
步骤4、所述感染点定位模块利用公开威胁情报信息标记数据溯源图中的感染点,使系统能够精确定位到数据溯源图中与攻击相关的节点和边;
步骤5、所述攻击链映射模块使用自行编写的攻击链映射规则,以所述步骤4中定位的感染点为基点对数据溯源图进行深度优先搜索,并匹配满足映射规则的节点和边,将它们映射到APT攻击链的对应步骤,最终输出完整的APT攻击链;
步骤6、向用户展示还原的APT攻击链,用户能够从中获知攻击的完整传递过程,针对性地做出防御措施。
10.如权利要求9所述的基于数据溯源图的APT攻击链还原方法,其特征在于,所述步骤3还包括:
所述数据溯源图压缩模块首先对数据溯源图中的节点创建版本,使其满足无环特性,之后通过边压缩与节点压缩算法删去数据溯源图中的冗余信息,实现对数据溯源图的压缩。
一种基于数据溯源图的APT攻击链还原系统
技术领域
[0001]本发明涉及计算机网络安全领域,尤其涉及一种基于数据溯源图的APT攻击链还原系统。
背景技术
[0002]随着互联网的不断发展,APT对于企业和国家的威胁已经成为信息安全防护中越来越突出的问题。人们在生活的方方面面都不可避免地需要接触互联网,如果对APT攻击方法没有清晰的了解,缺乏有效的防御手段,那么不仅会造成巨额的经济损失,甚至会泄露国家的安全机密,对社会稳定产生巨大威胁。
[0003]APT,全称为高级持续性威胁(Advanced Persistent Threat),是近年来出现的一种新型的网络攻击形式。美国国家标准与技术研究所(NIST)给出了一种APT的官方定义,其中提到了APT的4大要素,即:(1)攻击者掌握高级的专业知识并且拥有丰富的资源;(2)APT 的攻击目标通常是破坏目标组织的关键设施,窃取机密情报或是干扰任务的正常执行;(3) APT使用丰富的攻击手段,通过渗透目标组织的基础设施以建立并扩展立足点,从而达成攻击目的;(4)APT攻击过程往往持续时间很长,并且会使用隐蔽手段来对抗安全防御措施。[0004]APT攻击链是用来表述APT攻击场景的一种标准模型。Milagerdi等人的工作中给出了一种APT攻击链的具体描述,将APT攻击分为七个阶段,即:
[0005](1)初始侦察:指利用各种攻击手段(如漏洞扫描,社会工程学)搜寻目标系统的脆弱点,并针对性地开展攻击活动;利用目标系统的脆弱点潜伏进入目标系统内部,如利用Web服务漏洞上传恶意代码。
[0006](2)建立立足点:利用木马等手段建立控制服务器与目标系统某一终端的连接。[0007](3)权限提升:通过执行恶意代码等方式,获得系统的超级用户权限。
[0008](4)内部侦察:获得终端控制权后,通过端口扫描等手段在目标系统内网搜索高价值目标。
[0009](5)横向移动:从立足点出发,在内网主机之间移动,目的是渗透进入高价值目标所在的设施。
[0010](6)完成任务:获取高价值目标,回传给攻击者(例如通过木马C&C服务器),或是运行恶意软件,破坏基础设备。
[0011](7)清除痕迹:通过删除系统日志等方法清理攻击痕迹,留下后门。
[0012]目前针对APT攻击,现有方法多停留在APT检测层面,并不能提供完整的攻击传递过程,即攻击链。而对于APT这样复杂、持续的攻击,提供APT攻击链显得尤为重要,这使得分析人员能够对APT攻击的全貌有清晰的认识,而少数能够提供攻击链的方法也存在普适性不高的缺陷。
[0013]本发明采用的数据溯源图是一种反应系统内实体之间交互关系的图结构。数据溯源图中的节点代表实体对象,可以是进程、文件、socket等等;而边则代表两个实体之间的一次交互以及交互的具体类型(例如写入、创建子进程)。在本发明的APT攻击链还原算法
中,数据溯源图被定义为一个DAG(有向无环图),这是因为将数据溯源图处理成无环图更有利后续分析以及设计溯源图压缩算法。
[0014]因此,本领域的技术人员致力于开发一种基于数据溯源图的APT攻击链还原系统,以数据溯源图或系统日志作为输入,以还原的APT攻击链作为输出,能够为安全分析人员提供清晰的攻击传递过程,同时使用了公开威胁情报,提高了系统普适性。
发明内容
[0015]有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是如何在被攻击的主机上收集信息,并构建完整的APT攻击链,为分析人员提供清晰的攻击传递过程。
[0016]为实现上述目的,本发明提供了一种基于数据溯源图的APT攻击链还原系统,其特征在于,包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块;
[0017]所述数据溯源图记录模块用于监控目标主机内的系统活动,并以数据溯源图格式进行记录;
[0018]所述输入模块用于获取所述数据溯源图格式或系统日志格式的输入数据,得到原始数据溯源图;
[0019]所述数据溯源图压缩模块用于对所述原始数据溯源图进行压缩,得到数据溯源图;
[0020]所述感染点定位模块用于对所述数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图;
[0021]所述攻击链映射模块通过映射规则将所述已定位数据溯源图中的节点和边映射到APT攻击链的各个阶段,最终构造出完整的APT攻击链。
[0022]进一步地,所述数据溯源图记录模块使用跨平台数据溯源图记录工具SPADE。[0023]进一步地,所述输入模块使用转换脚本将系统日志的输入数据转换为数据溯源图格式,得到原始数据溯源图。
[0024]进一步地,所述数据溯源图压缩模块对所述原始数据溯源图进行转换,使其成为无环图。
[0025]进一步地,所述数据溯源图压缩模块对成为无环图的原始数据溯源图通过压缩算法删去冗余信息,得到数据溯源图。
[0026]进一步地,所述压缩算法包括边压缩算法、节点压缩算法。
[0027]进一步地,所述感染点定位模块利用公开威胁情报标记所述数据溯源图中的感染点,定位与APT攻击相关的节点与边。
[0028]进一步地,所述攻击链映射模块使用攻击链映射规则,以在所述感染点定位模块中定位的感染点作为基点,对所述已定位数据溯源图进行深度优先搜索,匹配满足映射规则的节点和边,并将它们映射至APT攻击链的各个阶段,最终获得完整的APT攻击链。[0029]一种基于数据溯源图的APT攻击链还原系统的APT攻击链还原方法,其特征在于,所述方法包括以下步骤:
[0030]步骤1、用户通过所述数据溯源图记录模块获取系统的数据溯源图,或利用系统自身的审计功能获取系统日志;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议